BDS/Codbot.AH - Backdoor Server

A voir aussi

Brève description

Description complète

Statistiques

Nom:	BDS/Codbot.AH
La date de la découverte:	03/03/2006
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	46.080 Octets
Somme de contrôle MD5:	d209b321f972e3b4a9d9d75e40a58524
Version VDF:	6.31.01.34

Général Méthode de propagation:
   • Le réseau local

Les alias:
   • Symantec: W32.Toxbot
   • Mcafee: W32/Sdbot.worm.gen.w
   • Kaspersky: Backdoor.Win32.Codbot.ah
   • TrendMicro: WORM_CODBOT.W
   • VirusBuster: Worm.Codbot.Y
   • Bitdefender: Backdoor.Codbot.AH

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\dxdmain.exe

Le fichier suivant est créé:

– %TEMPDIR%\erase.bat Ce fichier séquentiel est employé pour effacer un fichier.

Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\dxdmain\Security]
   • "Security"=hex:%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dxdmain]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dxdmain]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Services\dxdmain]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"="%sysdir%\dxdmain.exe"
     "DisplayName"="DirectX Graphics"
     "ObjectName"="LocalSystem"
     "FailureActions"=hex:%valeurs hexa%
     "Description"="Allows you to disable DirectDraw, Direct3D, and AGP Texture Acceleration."

– [HKLM\SYSTEM\CurrentControlSet\Services\dxdmain\Enum]
   • "0"="Root\\LEGACY_DXDMAIN\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000]
   • "Service"="dxdmain"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="DirectX Graphics"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="dxdmain"

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
• ipc$
• c$

La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
– VX05-006 (Remote Heap Overflow lorsque de l'utilisation de VERITAS Backup Exec Admin Plus Pack Option)

Le processus d'infection:
Crée un script TFTP ou FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: **********.goingformars.com
Port: 6556
Canal: #11#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: g3t0u7

Serveur: **********.my1x1.com
Port: 6556
Canal: #11#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: g3t0u7

Serveur: **********.my-secure.name
Port: 6556
Canal: #11#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: g3t0u7

Serveur: **********.memzero.info
Port: 6556
Canal: #11#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: g3t0u7

Serveur: **********.online-software.org
Port: 6556
Canal: #11#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: g3t0u7

Serveur: **********.martiansong.com
Port: 6556
Canal: #11#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: g3t0u7

– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antémémoire:
    • Vitesse du CPU
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Taille de mémoire
    • Information sur le système d'exploitation Windows

– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Scanner le réseau
    • Commence le keylog
    • Démarrer une routine de propagation

Porte dérobée Les ports suivants sont ouverts:

– dxdmain.exe sur un port TCP aléatoire afin de fournir un serveur FTP
– dxdmain.exe sur le port UDP 69 afin de fournir un serveur TFTP.
– dxdmain.exe sur un port TCP aléatoire afin de fournir de capacités de porte dérobée

Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe employés par la fonction AutoComplete

– il emploie un analyseur de réseau qui vérifie la chaîne de caractères suivante :
   • OPER
   • JOIN
   • bank
   • login
   • e-bay
   • ebay
   • paypal

Informations divers Mutex:
Il crée le Mutex suivant:
• xDxdmaiNx

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Mon, 06 Mar 2006 10:16 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Mon, 06 Mar 2006 10:46 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour